第2天:基础入门-Web架构_前后端分离站_Docker容器站_集成软件站_建站分配

前后端分离

前后端分离是一种软件开发架构模式,它将应用程序的前端(用户界面和用户体验部分)和后端(数据处理和业务逻辑部分)进行解耦,使两者可以独立开发、部署和扩展。

1
2
3
4
5
6
7
8
9
10
前端(Frontend):
    职责:负责用户界面(UI)和用户体验(UX),处理用户输入、展示数据,并与后端通过API进行交互。
    技术栈:常用技术包括HTML、CSS、JavaScript,以及现代前端框架如React、Vue.js、Angular等。

后端(Backend):
    职责:处理业务逻辑、数据存储、安全验证、API服务等核心功能。
    技术栈:常用语言包括Java、Python、Node.js、Go等,框架如Spring Boot、Django、Express等。

API(应用程序接口):
    作用:作为前后端通信的桥梁,定义数据格式(如JSON、XML)和交互协议(如RESTful、GraphQL)。

总结来说,就是前端只是用来展示界面,后端是一个单独的程序可以通过修改数据的方式影响前端,将前端和后端连接的是api接口。

对于安全的影响

1
2
3
1.前端页面大部分没有漏洞
2.后端管理程序大部分在不同的域名
3.获得权限可能影响不到后端。

集成环境对安全的影响

1
2
3
4
5
6
7
8
9
10
11
宝塔&&phpstudy:
原理:打包类集成化的环境,权限配置或受控制
影响:攻击者权限对比区别。

Docker容器:
原理:虚拟化技术独立的磁盘空间。非真实物理环境。
影响:攻击者拿shell,也拿的是docker环境里面那个独立的shell,影响不到真实环境。(如果想要影响到真实环境可以尝试docker逃逸)

建立分配站点:
原理:利用别人域名模板建立
影响:实质安全测试非目标资产

宝塔&&IIS&&phpstudy

1
2
3
4
5
6
7
8
9
宝塔(拿下shell)之后:
1.没有目录权限,锁定目录。
2.命令执行被禁用,命令无法执行。

IIS(拿下shell之后):
部分目录可以访问,部分命令可以执行(这个我感觉是权限的问题)

phpstudy(拿下shell)之后:
默认允许,没有做任何的过滤设置,但是如果想要进行安全设置也可以进行安全设置。

伪静态

1
只能通过经验来进行判断,看看页面是否简单是否复杂,个人感觉还得看页面是否是否使用的是框架,比如说有的框架,用起来很好看,但是他就是静态网页。hexo就是静态的。